Collana diretta da
Sergio Moccia
Comitato scientifico: Luigi Ferrajoli, Carlo Fiore, Winfried Hassemer, Marcello Gallo, Santiago Mir Puig, Massimo Nobili, Tullio Padovani, Carlo Enrico Pa-liero, Claus Roxin, Juarez Tavares, Klaus Volk, Eugenio Raúl Zaffaroni La pubblicazione è stata sottoposta a una procedura di valutazione a opera di blind referees.
LA TUTELA PENALE
DELLA RISERVATEZZA
E DEI DATI PERSONALI
PROFILI DOMMATICI
Troncone, Pasquale
La tutela penale della riservatezza e dei dati personali Profili dommatici e nuovi approdi normativi
Collana: Nuove Ricerche di Scienze Penalistiche, 31 Napoli: Edizioni Scientifiche Italiane, 2020
pp. 276; 24 cm
ISBN 978-88-495-4208-0
© 2020 by Edizioni Scientifiche Italiane s.p.a. 80121 Napoli, via Chiatamone 7
Internet: www.edizioniesi.it E-mail: info@edizioniesi.it
I diritti di traduzione, riproduzione e adattamento totale o parziale e con qualsiasi mezzo (com-presi i microfilm e le copie fotostatiche) sono riservati per tutti i Paesi.
Fotocopie per uso personale del lettore possono essere effettuate nei limiti del 15% di ciascun vo-lume/fascicolo di periodico dietro pagamento alla siae del compenso previsto dall’art. 68, comma 4 della legge 22 aprile 1941, n. 633 ovvero dall’accordo stipulato tra siae, aie, sns e cna, con-fartigianato, casa, claai, confcommercio, confesercenti il 18 dicembre 2000.
sia sempre segnato dalla ricerca della Verità e della Giustizia
Premessa
La necessità di uno statuto penale della tutela della vita privata
della persona: Riservatezza p. 11
Parte I
Verso il fondamento dommatico di un microsistema penale di stampo eurounitario
1. Ampiezza e limiti di un intervento riformatore della tutela penale dei dati
per-sonali in uno scenario normativo continentale profondamente mutato » 24
1.1. La necessità di una rivisitazione critica della materia dei dati personali da
parte della letteratura penalistica » 27
1.2. I propositi di una riforma radicale de lege ferenda nel nuovo contesto di
valore della riservatezza personale » 31
2. La disciplina integrata multilivello vigente nel contesto continentale. Esigenza
di una comune base giuridica nel segno della duttilità normativa » 33
2.1. La messa a punto dei principi fondamentali di orientamento e di governo
della privacy. L’indubbia ricchezza delle fonti interne e sovranazionali » 35
2.2. I referenti normativi sovraordinati alle nuove norme penali » 39
3. L’insidia di un nodo formalmente sciolto: l’identità personale nella forma della riservatezza digitale. La proiezione normativa della riservatezza online verso
quella offline » 42
3.1. La sempre maggiore espansione dei campi operativi della persona nel web come fattore di incremento della vulnerabilità soggettiva. La rilevanza
giu-dica della “vita intima” » 47
4. Il primo approdo del diritto alla “riservatezza digitale” come punto di svolta
delle istanze di protezione europea » 53
4.1. La rivendicazione di un moderno bisogno di tutela penale. Dalla tutela
asimmetrica alla opzione di una protezione tautologica » 57
5. Il valore inferente della radice normativa. La riservatezza come bene giuridico ambivalente da ricondurre all’ambito prescrittivo della nuova nozione di dato
personale o è frutto di elasticità lessicale? » 61
messa a punto di un bene giuridico autonomo nel nostro ordinamento pe-nale: la riservatezza. Un interesse giuridico con una solida identità,
omni-comprensivo e a geometria variabile » 67
6.1. La riservatezza discende da precise opportunità di politica criminale e non
da obblighi di incriminazione » 76
7. Spunti per la qualificazione dei caratteri identitari di una sanzione penale in materia di dati personali e riservatezza digitale in Rete. Il moderno ruolo della
confisca » 79
7.1. La pena digitale per rimeditare rimprovero e sanzione. Verso inedite espe-rienze di punizione e reintegrazione sociale per evitare effetti di
“emar-ginazione digitale” » 82
7.2. Gli attesi esiti punitivi degli effetti ablatori della confisca in materia di
ri-servatezza » 87
8. Per uno sguardo d’insieme al nuovo contesto normativo penalistico a tutela della riservatezza-privacy. La non esaustività della materia perché a categoria
aperta » 90
8.1. Le norme a tutela della riservatezza disperse in altri testi legislativi.
Vali-cato il limite del principio di “riserva di codice” » 93
8.2. Il profilo dirimente della natura personale dell’informazione. Il
Regola-mento del trattaRegola-mento dei dati non personali. » 94
8.3. Esempi virtuosi (e sporadici) per modulare la successione delle leggi nel
tempo » 97
9. La clausola normativa regolatrice introdotta nel rispetto del principio di
ga-ranzia del ne bis in idem sostanziale » 99
Parte II
Il delitto di trattamento illecito di dati (personali)
1. Lineamenti essenziali della nuova struttura del reato composito » 106
1.1. La multifocalità delle fonti e la indefinita molteplicità degli elementi nor-mativi intrinseci alla fattispecie penale. Il ruolo normativo dell’Autorità
Garante della privacy » 109
1.2. La disapplicazione come rimedio contro atti e provvedimenti
ammini-strativi illegittimi integrativi delle fattispecie penali della privacy » 115
2. La riallocazione del nocumento come evento del reato nel nuovo assetto dei
requisiti di tipicità del fatto » 117
2.1. Dalla mera trasgressione alla lesione di un interesse ben determinato e
og-gettivamente vulnerabile nella relazione dicotomica “diffusione-nocumento” » 123
3. Le tre diverse ipotesi punibili: struttura e funzione del fatto incriminato » 126
4. La finalità punitiva come espressione pragmatica del principio di
proporzio-nalità di stampo eurounitario » 131
5. L’individuazione del soggetto agente. Cenni alla delega di funzioni e
respon-sabilità penale derivata » 135
5.1. La previsione prescrittiva delle modalità di trattamento dei dati personali » 137
6. Il trattamento dati contro la sfera personale dell’interessato come ipotesi di
violazione della riservatezza » 139
6.2. Il bene della riservatezza digitale leso dal danno per “via diretta”. Le
pre-messe a un intervento di contrasto al fenomeno revenge porn » 143
7. La categoria del soggetto passivo, il minore e la nozione di dato personale
con carattere identificativo della persona » 148
7.1. Riflessioni sull’iperprotezione della vittima versus autoresponsabilità della
condotta del soggetto passivo » 151
8. La nuova qualificazione offensiva con la previsione dell’evento e i rapporti con il dolo specifico: la sovrapposizione di volontà punibili. La
configurabi-lità del tentativo in un delitto con evento materiale » 154
8.1. Le forme di consumazione del reato e la controversa ipotesi del
tratta-mento illecito di dati come reato permanente » 157
9. Il possibile concorso di reati o di norme con fattispecie ad effetti prevalenti.
La riconduzione a razionalità unitaria tra riservatezza e tutela informatica » 159
10. La successione delle leggi penali nel tempo e l’enigma dell’abrogazione espressa
del delitto di comunicazione e diffusione tout court » 169
11. L’auspicio di una più precisa formulazione alternativa del precetto. Il difetto
di proporzione per talune vicende di cronaca » 171
12. Consenso e legittimo interesse quale base legale dell’autodeterminazione del-l’interessato. Lo spazio di intervento della “giustificazione procedurale” nei
trattamenti automatizzati per chiarire gli spazi del lecito intervento » 172
13. Gli interventi di politica criminale per suggestione mediatica ovvero lo “spreco
di fattispecie” con il delitto dell’art. 612-ter c.p. » 179
Parte III
La tutela penale di un archivio di dati personali automatizzato. La disciplina ausiliare
Sezione I
Gli illeciti penali del trattamento dati svolto su larga scala
1. Il delitto di comunicazione e diffusione illecita di dati personali oggetto di
trattamento su larga scala » 187
2. Il dato personale come requisito di tipicità della fattispecie. La netta
distin-zione con il dato non personale » 191
3. I caratteri tipici della condotta punibile costituiti dalla “comunicazione e
dif-fusione”. L’assenza dell’evento » 193
4. L’archivio di dati personali organizzato quale oggetto di tutela misto tra bene
materiale e bene giuridico » 197
5. L’elemento soggettivo del reato » 200
6. La nozione, la forma e gli effetti autorizzativi del consenso » 201
Sezione II
Il delitto di acquisizione fraudolenta di un archivio dati
1. Il delitto di acquisizione fraudolenta di dati personali oggetto di trattamento
su larga scala » 206
2. La finalità punitiva della norma penale. L’effetto di monetizzazione dei dati
3. Una norma imposta dall’esperienza empirica per prevenire la sottrazione di archivi informatizzati di dati personali a strutture critiche digitali del paese.
Spunti di proporzionalità del reato » 213
4. La condotta di acquisizione con mezzi fraudolenti » 216
Sezione III
Trattamento illecito di dati personali giudiziari
1. I nuovi delitti di trattamento illecito di dati giudiziari previsti nel D.Lgs. n.
51 del 18 maggio 2018 » 219
2. La condotta punibile e l’oggetto dell’incriminazione » 223
3. La nuova disciplina del DPR n. 15 del 15 gennaio 2018, n. 15 sul trattamento
dei dati personali per finalità di polizia » 224
Sezione IV
Propositi di responsabilità dell’ente ex l. n. 231/2001. La terzietà dell’Autorità Garante – Specificità processuali. Cenni sulla prova digitale
1. Il ripensamento del legislatore sulla responsabilità degli Enti nei delitti di
il-lecito trattamento di dati personali » 226
2. Spunti di diritto processuale penale come disciplina tipica nella legislazione del
trattamento dei dati personali » 228
3. Aspetti problematici circa il nuovo ruolo atipico del Garante della privacy
seb-bene opportuno presidio per la tutela della riservatezza » 231
3.1. L’Autorità Garante della privacy sul crinale incerto tra indipendenza e
im-parzialità. Il principio di neutralità come cardine del presidio istituzionale » 233
3.2. L’intervento tecnico dell’Autorità Garante della privacy nel procedimento penale. Il controverso canone di terzietà processuale derivante dall’art. 111
Cost. » 235
4. Il particolare regime giuridico della prova informatica o digitale connotata di
alto contenuto tecnologico » 239
4.1. Cenni alla riservatezza delle captazioni operate dall’Autorità Giudiziaria e custodite nell’archivio digitale istituito dalla legge n. 7 del 28 febbraio
2020 » 241
Indice bibliografico » 247
La necessità di uno statuto penale della tutela
della vita privata della persona: Riservatezza
L’ultima riforma della legislazione intervenuta nel 2018 che regola il trat-tamento dei dati personali rappresenta una decisa e inattesa svolta per l’in-tera materia della riservatezza che va completamente rimeditata e messa a punto da un punto di vista teleologico e sistematico oltre che per gli ampi contenuti precettivi completamente rinnovati.
La novità si afferma non solo per avere introdotto una più complessiva disciplina profondamente rivisitata e adeguata al più recente livello rag-giunto dalla moderna tecnologia, portatrice di tutti i pesanti rischi che ne sono connessi, ma soprattutto per aver fornito nuove e più aderenti coor-dinate esegetiche a un complesso disciplinare destinato a governare il fu-turo della Rete.
Non va, peraltro, trascurato che la tutela si stende ormai su tutto l’o-rizzonte del mondo materiale, nella piena consapevolezza della sutura di una storica faglia concettuale per la confusione insorta tra i piani della vita reale offline con quella immateriale online, in un contesto teleologico che viene a costituire una rinnovata e ampia area di tutela1.
La fonte continentale di riferimento attraverso la disciplina dell’art. 4 del Regolamento europeo (GDPR) traccia il solco e poi i confini della ma-teria che tiene insieme la realtà immama-teriale della Rete e le vicende di vita concreta vissute quotidianamente dalle persone fisiche, dunque non esclu-sivamente rivolta ai trattamenti automatizzati2.
1 Questo lavoro vuole essere l’evoluzione del nostro precedente P. Troncone, Il
de-litto di trattamento illecito di dati personali, Torino 2011, cui ci si permette di rinviare per
tutte le questioni che sono semplicemente transitate nel nuovo corredo legislativo, senza ri-petere quanto già esposto.
Si vedrà, infatti, che nella prima delle fattispecie di reato rubricate al-l’art. 167 CdP l’attività di trattamento automatizzato ha perso la sua cen-tralità qualificativa e la norma ha ampliato in maniera sensibile la sua base applicativa.
Il cambiamento di rotta è stato radicale e appare chiaramente certificato dal tenore dell’art. 4, n. 1, del Regolamento europeo dove è sancito, in-fatti, che per dato personale si debba intendere qualsiasi informazione ri-guardante una persona fisica identificata o identificabile, mentre al n. 2 che il trattamento concerne qualsiasi operazione o insieme di operazioni, com-piute con o senza l’ausilio di processi automatizzati o sistemi tecnologici di trattamento. Dunque, per la prima volta l’informazione personale, la vita privata, diventa il tema centrale della nuova legislazione e nasce dall’in-treccio dei dati identificativi e delle informazioni sulle circostanze di vita intima ed esclusiva della persona.
In questo modo si colgono simultaneamente tutti i contesti in cui rile-vano circostanze che costituiscono la riservatezza o la privatezza dell’indi-viduo e tutte le modalità con cui le informazioni personali vengono trat-tate, nel rispetto dell’autodeterminazione dell’interessato che può libera-mente divulgarle soltanto quando esplicitalibera-mente lo disponga. Ma questo vuol dire anche che il nuovo statuto normativo multilivello ha come obiet-tivo la tutela della persona e non soltanto una cosa o un bene come per anni è stato considerato il dato o l’informazione personale.
Sul piano strutturale l’intervento disciplinare si segnala per un sicuro carattere di originalità, vale a dire la costituzione di un vero e proprio
“si-stema normativo autonomo” che si caratterizza per il fatto che l’opera di
2016, entrato in vigore in tutta l’Unione Europea il 25 maggio 2018. Più avanti si farà so-vente rinvio ai cc.dd. “Considerando” che aprono il testo del Regolamento europeo e che spiegano le ragioni della scelta precettiva. Si tratta, a ben vedere, di una vera e propria fonte inedita del diritto in questo nuovo ampio complesso disciplinare del trattamento dei dati che, non solo svolgono una funzione di chiarimento e di orientamento per l’interprete chia-mato a sciogliere nodi esegetici, ma costituiscono essi stessi una importante base legale per l’individuazione della regola del caso concreto. Sotto il profilo penale i Considerando fini-scono per costituire talvolta gli stessi elementi descrittivi della fattispecie, per partecipare a pieno titolo alla completezza del comando o del divieto. In altri termini, diventano ele-menti integrativi della fattispecie incriminatrice necessari per superare l’incompletezza della norma penale in bianco e diventando essi stessi fonti del diritto. Sul punto V. Cuffaro, Il
diritto europeo sul trattamento dei dati personali, in Contratto e impresa 2018, n. 3, p. 1107:
“Dovendo procedere per esemplificazioni, l’analisi può essere circoscritta ad alcuni profili: il
ruolo dei “considerando”, il contenuto delle “definizioni”, la tecnica di formulazione delle regole. Rispetto ai “considerando” che precedono l’articolato delle norme per spiegarne la ratio, può innanzi tutto constatarsi come per la materia del trattamento dei dati personali la novità del fenomeno cui è rivolta la regolamentazione assegna ai considerando una pe-culiare funzione”.
ricodificazione si è spesa su due diversi fronti irriducibilmente comple-mentari.
Le fonti, infatti, ora presentano un composto timbro di razionalità se-condo un livello verticale, dove la disciplina di carattere generale dell’am-bito sovranazionale tende ad armonizzare e rendere coerenti le scelte nor-mative dei diversi stati membri3; e a livello orizzontale, dove le discipline
nazionali adeguano e calibrano il sistema legislativo interno anche alla luce della giurisprudenza normativa multilivello che nel corso degli anni è ma-turata sull’argomento4.
Si coglie, è vero, una tensione costante nelle scelte eurounitarie, quella di offrire una tutela forte e completa ai dati informatici che riguardano la persona umana, facendo avanzare proprio quel tradizionale limite della li-bera operatività del web a vantaggio della tutela della riservatezza perso-nale: “Al fine di assicurare un livello coerente ed elevato di protezione delle
persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equi-valente in tutti gli Stati membri”5.
Preoccupazione che viene adeguatamente colta dal legislatore italiano, il quale non si allinea soltanto alla normativa sovranazionale, recependo tutto il compendio delle norme punitive degli illeciti amministrativi, ma si spinge ben oltre, fino al punto di introdurre nuove norme penali, chiamate a
3 Il D.lgs. n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati
perso-nali”, modificato dal D.lgs n. 101 del 10 agosto 2018, all’art. 2 “Finalità” stabilisce: “Il pre-sente codice reca disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento”.
4Regolamento europeo n. 679/2016 al Considerando n. 7: “Tale evoluzione richiede un
quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da ef-ficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisi-che abbiano il controllo dei dati personali fisi-che li riguardano e fisi-che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”.
5 Considerando n. 10 del Regolamento europeo che continua ribadendo: “È opportuno
assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione”. Sembra inutile negare che l’affermazione dei diritti di stampo tradizionale
nell’epoca della immaterialità delle relazioni e l’avanzare prepotente della tecnologia impone la rifondazione dei diritti della persona, in realtà di tutte le categorie dei diritti, secondo l’auspicio di G. Zagrebelsky, Diritti per forza, Torino 2017, p. 113: “Di fronte alla
va-lenza totalitaria della conoscenza totale, il diritto alla privacy non protegge soltanto l’inti-mità della vita, …, il vivi appartato di Epicuro che qualcuno, pur nella società dell’imma-gine, ancora considera importante”.
rafforzare il quadro della tutela della riservatezza della persona6. Scelta che,
per vero, nella stessa dimensione di valore, non è seguita in altri ordina-menti in una prospettiva comparatistica e in termini di uniformità sulle
cri-minal penalties7.
Nel mondo della Rete, in buona sostanza, i diritti della personalità ri-cevevano paradossalmente una tutela penale rafforzata, mirata e specifica molto più forte di quelli di cui si era titolari nel mondo reale soprattutto in ragione dell’altissimo livello del rischio lesivo8. E seppure, secondo le
diverse accezioni semantiche, quali utente, operatore, committente, consu-matore, la persona umana diventa il costante e centrale momento di inte-resse del legislatore, così come orientano le norme di principio fondamentali nazionali ed europee.
Questo moderno assetto di valore che prende forma in maniera così strutturata e forte fa compiere un passo avanti decisivo verso l’ambizioso progetto di assicurare un valore normativo diffuso a livello ordinamentale
6 Aveva già intravisto la prospettiva futura di questo percorso, collocando questa nuova
materia proprio nell’ambito dei diritti personalissimi e anticipando il tema della riservatezza in ambiti tecnologici dallo sviluppo imprevedibile A. Manna, Tutela penale della
persona-lità, Bologna 1993, p. 124, in particolare al paragrafo “La tutela dei dati personali. Dal di-ritto al “segreto” al didi-ritto al “controllo””.
7 Il tema della nuova e più ampliata dimensione dell’intervento in materia penale ha
su-scitato anche dubbi di eccesso di delega in cui il legislatore italiano sarebbe incorso rispetto al modello prescrittivo del Regolamento europeo che ne abilitava, sia pure in maniera mo-derata, il ricorso.
8 La novità di questo nuovo diritto penale, ancora bisognoso di una precisa messa a
punto delle categorie penalistiche di orientamento, è da ricercare probabilmente nella fina-lità di contenimento del rischio che il mondo caotico dell’evoluzione tecnologica dissemina con il suo incedere incontrollabile, come ampiamente preconizzato dalla prospettiva pro-posta da U. Beck, La società del rischio. Verso una seconda modernità, Roma 2000. Nello specifico della materia penale, sugli aspetti del rischio nelle moderne società industrializzate e informatizzate, si rinvia ai lavori di riferimento di F. Sgubbi, Il reato come rischio sociale.
Ricerche sulle scelte di allocazione dell’illegalità penale, Bologna 1990; e F. Stella, Giusti-zia e modernità. La protezione dell’innocente e la tutela delle vittime, Milano 2001. La
tec-nologia come fonte del rischio della modernità è un tema comune alla riflessione penali-stica continentale, in C. Sudrez Gonzales, Diritto penale e rischi tecnologici, in Critica e
giustificazione del diritto penale nel cambio di secolo. L’analisi critica della Scuola di Fran-coforte, a cura di L. Stortoni - L. Foffani, Milano 2004, in particolare a p. 413. V.
Mili-tello, Diritto penale del rischio e rischi del diritto penale fra scienza e società, a cura di C.D. Spinellis - N. Theodorakis - E. Billis - G. Papa-Dimitrakopoulos, Europe in crisis:
crime, criminal justice, and the way forward. Essays in honour of Nestor Courakis, Atene
2017, p. 223. Per quanto invece concerne la rivisitazione delle categorie concettuali e dei paradigmi del diritto penale è importante la lettura di F. Palazzo - F. Viganò, Diritto
alla persona umana, uno spazio regolato dal diritto dove alla persona viene garantita una sicura e serrata tutela giuridica9.
La materia dei dati personali va considerata come un settore autonomo dell’ordinamento giuridico, dotato di una sua particolare cifra identitaria che ne connota il tratto di singolare specialità rispetto a tutti gli altri set-tori, e che si concentra in parte anche sulla specificità del mezzo utilizzato per le attività di trattamento delle informazioni e per le possibili attività illecite compiute, vale a dire la rete Internet. È proprio il web a caratte-rizzare di nuova tipicità la disciplina del mondo immateriale della Rete e tenerla nettamente distinta da tutte le altre discipline chiamate a regolare e reprimere comportamenti che appartengono soltanto alla materialità del mondo concreto.
In realtà, la tutela della riservatezza della persona, vale a dire la
riser-vatezza digitale come componente della identità digitale, è la vera novità
prodotta dalla riforma che, secondo un nuovo orientamento teleologico, innesta nel sistema penale italiano un microsistema penale in sé compiuto, centrato su un nuovo bene giuridico di settore, dotato di un autonomo profilo, al tempo stesso articolato e complesso.
Il contesto operativo e giuridico del trattamento dei dati personali mo-stra oggi, infatti, una segmentazione al suo interno molto più definita ri-spetto al passato nei suoi assetti di tutela. Emerge con forza un nuovo in-teresse giuridico che progressivamente la giurisprudenza multilivello aveva individuato e che ottiene ora un formale e definitivo riconoscimento, ol-tre a un distinto titolo di legittimazione ordinamentale.
Bisogna riconoscere, dunque, che la materia dei dati personali si pre-senta in questo nuovo e ampio scenario normativo come un paradigma
complesso, non un solo bene giuridico di riferimento, tra l’altro la materia
penale dei dati personali ha sempre respinto una qualificazione teleologica in termini assoluti legando il proprio carattere ad aspetti funzionali, prag-matici10, ma un ambito di tutela (data breach) in cui vengono ad emergere
interessi differenziati, tra loro correlati e tutti orientati verso un comune carattere costitutivo11.
9 F. Di Resta, La nuova «privacy europea». I principali adempimenti del regolamento
UE 2016/679 e i profili risarcitori, Giappichelli, Torino 2018.
10 A. Merli, Introduzione alla teoria generale del bene giudico. Il problema. Le fonti.
Le tecniche di tutela penale, Napoli 2006, p. 330.
11 Questo tentativo di elaborazione teorica è razionalmente mutuabile da un analogo
interesse di categoria di natura aggregata, quello dell’economia pubblica, come sostenuto da A. Manna, Corso di diritto penale dell’impresa, Padova 2018, da p. 11, il quale indivi-dua il profilo rappresentativo della complessa categoria in un bene giuridico
super-indivi-duale. In realtà tutte le ipotesi di reato del settore della pubblica economia evidenziano un
indeter-L’evoluzione del concetto di dato personale ha spostato l’asse di quali-ficazione su un terreno molto più avanzato in modo da distinguere i dati identificativi o personali in senso lato della persona, dai dati identitari o personali in senso stretto. I primi sono essenzialmente legati alla sfera ana-grafica, ai dati che identificano e fanno riconoscere il soggetto; i secondi sono quelli che consentono di delineare le circostanze di vita quotidiana, di accadimenti intimi individuali e sociali della persona e fanno individuare il soggetto.
Pur tenendo nel debito conto il fatto che molto spesso l’interesse del giurista è concentrato sui dati identificativi, diretti e indiretti, della persona, l’Unione europea ha messo in campo anche una diffusa e pertinente di-sciplina di regolazione e di tutela relativa al trattamento dei dati non per-sonali con il “Regolamento del Parlamento Europeo relativo a un quadro
applicabile alla libera circolazione dei dati non personali nell’Unione euro-pea (Testo rilevante ai fini del SEE)”12.
La nuova disciplina è posta a regolare gli innumerevoli dati informatici di natura diversa da quelli che concernono la persona umana, da qui la ne-cessità di distinguere nettamente la finalità punitiva delle tre diverse fatti-specie penali degli artt. 167, 167-bis e 167-ter CdP concernenti il tratta-mento dei dati messe in campo con la radicale riforma del Codice della
privacy.
In fondo è la conferma che il mondo del web, nelle sue varie declina-zioni che l’avanzamento tecnologico ha reso possibili, è animato dai più disparati interessi e sostenuto dalle più diverse tipologie di attività nel campo informatico.
Rispetto al passato le norme penali di nuova formulazione hanno il pre-gio di aver preso le distanze dalla criptica stesura delle figure di reato abro-gate che non pochi problemi avevano generato in sede applicativa. L’as-senza di una sicura configurazione dell’ampiezza dell’area di tutela penale era aggravata dall’uso non sempre preciso e tecnicamente ineccepibile dei requisiti di tipicità del fatto punibile, condizionato, inoltre, anche dall’av-venturosa apposizione di condizioni obiettive di punibilità che interferi-vano e si confondeinterferi-vano con i singoli presupposti del reato.
Su questa spinta, a superare i limiti irragionevoli di una tutela che ve-niva ritenuta ipotizzabile solo al mondo di Internet, va sottolineato che
minabile di soggetti com’è tipico della categoria del reato a soggetto passivo indeterminato. In realtà, l’Autore mette anche in evidenza la relazione tra beni strumentali e beni finali, analogia che si coglie anche nel settore penale del trattamento dati, sempre A. Manna,
Corso di diritto penale dell’impresa cit., p. 27. Converge, da ultimo, su questa prospettiva
S. Seminara, I reati societari. Vol. II Diritto penale commerciale, Torino 2018, p. 1 e seg.
già sotto il vigore della prima legge a tutela della privacy, la legge n. 675 del 1996, il giudice penale aveva applicato il reato dell’art. 35 “Trattamento
illecito di dati personali” a fatti che riguardavano la vita intima delle
per-sone per vicende appartenenti al mondo concreto13. Con una tensione
ad-dirittura maggiore di apertura del campo applicativo vi ha fatto spesso ri-corso, sotto il vigore del primo Codice della privacy, il giudice civile ita-liano, ricorrendo a sanzionare anche fatti lesivi consumati nel mondo ma-teriale14.
Nonostante le ambiguità concettuali e seppure con intenti che restano inespressi e sottotraccia, con la nuova vigente disciplina cade il diaframma tra riservatezza online e riservatezza offline, che poi si traduce in tratta-mento automatizzato e non, e la tutela penale si estende dal corpo elet-tronico al corpo fisico della persona, per colpire tutte quelle condotte di indiscrezione punite dalla legislazione sui dati personali e, in larga misura, da quelle appartenenti al settore dei reati informatici del codice penale. Con l’attuale rivisitazione normativa la distanza tra i fronti delle due materie si sta effettivamente riducendo e in maniera sempre più pressante si fa largo l’ipotesi politico criminale di una sistemazione concettuale che offra uno statuto penale comune, teso a costituire un’unica categoria incriminatrice15.
Soltanto una rinnovata e accorta lettura costituzionalmente orientata
13 Conformemente Cass. Sez. III, sent. n. 28680 del 1.7.2004, in www.latribuna.it:
«…l’imputato A.M. “non aveva preso bene” la decisione di F.M. di rompere il legame
sen-timentale che li univa da circa due anni, sicché aveva iniziato a inondarla di lettere quasi farneticanti, a tempestarla di messaggi telefonici sul cellulare, al punto da costringerla a cam-biare per ben due volte la scheda telefonica, sebbene inutilmente, perché il A.M. riusciva sempre a venire a conoscenza del nuovo numero telefonico. È anche motivatamente accer-tato che l’impuaccer-tato, sebbene dicesse il contrario, aveva conservato anche una videocassetta che ritraeva la F.M. mentre si esibiva in uno “spogliarello” nella sua camera da letto».
14 Il tema della liceità del trattamento dei dati spesso si intreccia con il diritto di
cro-naca, anche se il fondamento normativo per stabilire la prevalenza dell’una sull’altra ipo-tesi va sempre rinvenuta nel Codice del trattamento dei dati personali e ne costituisce un illuminante esempio Cass., Sez. III civ., Sent. n. 12834 del 21 marzo 2014, in
www.cassa-zione.it: “La pubblicazione su un quotidiano della foto di una persona in coincidenza cro-nologica del suo arresto è legittima se sia rispettosa, oltre ai limiti di essenzialità per illu-strare il contenuto della notizia e quelli dell’esercizio del diritto di cronaca, anche delle par-ticolare cautele imposte a tutela della dignità della persona dal codice deontologico dei gior-nalisti”.
15 L’occasione è stata favorevolmente colta dai vari gruppi di studio costituiti
nell’am-bito dell’Associazione italiana dei professori di diritto penale per rivisitare tutta la categoria dei reati contro la persona e, nell’ambito di questi, costituire un nucleo unico di norme volto a tutelare la riservatezza, nel quale fare confluire le disposizioni disperse tra vari testi legislativi, componendo in modo razionale e coerente un corpo unico costituito dai reati informatici e quelli del trattamento di dati. Per leggere le proposte di riforma e le ragioni di un nuovo assetto legislativo, si può consultare il sito di www.aipdp.it.
delle precedenti disposizioni aveva già consentito alla giurisprudenza nor-mativa di forzare il dato semantico e riequilibrare in questo modo il ver-sante applicativo delle norme che, diversamente opinando, sarebbero ri-maste del tutto inapplicabili al mondo concreto, lasciando scoperta una va-sta area di valore che invece invocava tutela.
Si vedrà che, in realtà, il giudice sovranazionale e poi il giudice interno avevano messo a punto affidabili soluzioni interpretative tali da rinvigorire il quadro prescrittivo delle norme penali, anticipando di fatto l’attuale ra-dicale riforma16.
Si può affermare che da un diritto penale simbolico si passa ora a norme che possono trovare certamente occasione di agevole applicazione ed espri-mere quel livello di deterrenza che il settore della Rete invoca come ne-cessario per garantire le finalità ipotizzate dall’ordinamento giuridico con-tinentale.
Probabilmente l’incerta formulazione delle norme abrogate scontava, ol-tre che per una imprecisa scelta tecnica, anche il deficit di ancoraggio a in-teressi giuridici di riferimento che non orientavano adeguatamente l’opera legislativa. Il tema subiva la forte limitazione di un concetto giuridico di trattamento dei dati personali espressione soltanto di una mera procedura burocratica, da qui la tutela di una funzione, senza giungere al nocciolo della tutela anche della persona nel suo vivere quotidiano i cui dati ven-gono trattati. Riteniamo molto efficace a questo proposito mutuare il pen-siero di Bauman, il quale precisa: “Questo tipo di azione, diretta da un
in-sieme di regole razionali codificate, viene chiamata razionalità procedurale. L’importante è seguire la procedura alla lettera”17.
Con il nuovo assetto legislativo multilivello radicalmente riformato si è realizzato, a nostro avviso, quell’auspicato passaggio dalla tutela di una fun-zione o di una mera procedura, alla tutela di un bene giuridico individuale, concretamente afferrabile e correlato ai diritti fondamentali della persona umana espressi da un complesso seppure implicito fondamento costituzio-nale: la riservatezza personale18.
In definitiva, a una lettura attenta del quadro normativo attuale sembra che questo problema sia stato del tutto superato, salvo un intervento di ulteriore correzione che potrebbe ancora migliorare il livello di linearità descrittiva dell’illecito penale e, in questo modo, realizzare i propositi del
16 Per i rapporti tra fonte del diritto e opera giurisprudenziale si rinvia a G. Amarelli,
Legge penale e giudice: un vecchio rapporto alla ricerca di un nuovo equilibrio, in Cass. pen. 2014, p. 403.
17 Z. Bauman, Di nuovo soli. Un’etica in cerca di certezze, Roma 2018, da p. 16. 18 A. Cerri, voce Riservatezza (diritto alla), III parte – Diritto Costituzionale, in Enc.
disegno riformatore di conferire importanza centrale ai diritti della persona umana: “Il trattamento dei dati personali dovrebbe essere al servizio
del-l’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”19.
Intanto il legislatore non cessa di sorprendere innestando nel sistema penale nuove fattispecie di reato che, seppure poste a tutela della riserva-tezza personale, sotto la forma del trattamento di dati personali, sono in-serite in altro contesto normativo, ingenerando ulteriori momenti di a-si-stematicità teleologica. Il caso tipico di questa proliferazione normativa coinvolge la nuova ipotesi di reato “Diffusione illecita di immagini o
vi-deo sessualmente espliciti” inserita all’art. 612-ter del codice penale, tipica
ipotesi di trattamento illecito di dati della persona umana. Episodio pro-gettuale quantomai controverso, poiché, non solo replica una fattispecie già esistente, ma viene meno all’impegno normativo di mantenere integro un corpo legislativo che già costituisce sistema, come era stato auspicato dal vincolo di principio della riserva di codice.
La creazione di un microsistema penale che il legislatore ha privilegiato nel quadro normativo di un ordinamento complesso come quello sovra-nazionale privo di norme di principio costitutive, segna la novità assoluta degli ultimi anni.
La disciplina giuridica che regola i dati personali, più di ogni altra, co-stituisce un avamposto importante per tarare la compatibilità tra ordina-menti diversi ma intersecantesi, e un’esperienza di riferimento per verifi-care i termini di una stabile struttura dialogica tra organi di governo e Corti alla ricerca della regola giuridica comune.
Appare certamente un utile banco di prova dove si confrontano due di-versi ambiti culturali, il formalismo giuridico, tipico della norma inserita in un sistema ordinato, e il funzionalismo sociologico, dove la strategia nor-mativa nasce dalla stabilizzazione delle aspettative.
In questo modo anche il valore normativo della persona riceve nuova linfa e soprattutto un più ampio e fondato assetto delle garanzie di tutela. Si tratta, forse, di un primo, solido e inedito approdo che apre lo
spa-19 Prescrizione imposta sempre con il Considerando n. 4 del Regolamento europeo.
Nella dinamica ordinamentale è utile rinviare a G. Pino, Proporzionalità, diritti,
democra-zia, in Ragion pratica 2014, p. 557: “In fondo, la diffusione del principio di proporzionalità può essere considerato come una delle epifanie di un importante e più generale cambiamento di paradigma nel rapporto tra l’individuo e il pubblico potere – incluso il potere legislativo. Questo cambiamento di paradigma può essere sintetizzato nel passaggio da una “cultura dell’autorità” ad una “cultura della giustificazione”.
zio alla riflessione sulla ricerca di una nuova forma di sovranità dei prin-cipi, piuttosto che una sovranità degli ordinamenti.
Quando va in stampa questo volume il nostro Paese sta vivendo una vicenda sanitaria e umana unica nella sua storia moderna, grave e impre-vedibile nei suoi ulteriori sviluppi.
Benché siano entrati in vigore provvedimenti che di fatto hanno so-speso le nostre libertà personali, a partire dall’obbligo di permanenza do-miciliare derivante dal divieto di circolare liberamente nelle nostre città, va detto che la nostra democrazia è matura per tollerare periodi di sospen-sione di taluni diritti individuali per la salvaguardia della vita e della salute della comunità, data l’eccezionalità di una vicenda la cui portata viene de-finita nel tempo con provvedimenti a scadenza.
Tuttavia, la materia che resterà incisa irrimediabilmente e irreversibil-mente da questa esperienza è quella della riservatezza e dei dati personali. I rimedi tecnologici messi in campo per assicurare l’osservanza delle norme di salvaguardia sanitaria portano alla raccolta di una quantità incommen-surabile di dati personali e di abitudini di vita privata.
L’intervento normativo è stato giustificato dalla disposizione dell’art. 16 della nostra Carta costituzionale: “Ogni cittadino può circolare e
soggior-nare liberamente in qualsiasi parte del territorio nazionale, salvo le limita-zioni che la legge stabilisce in via generale per motivi di sanità o di sicu-rezza”.
Sul piano della legislazione primaria vi è stata la proclamazione dello stato di emergenza sanitaria “in conseguenza del rischio sanitario connesso
all’insorgenza di patologie derivanti da agenti virali trasmissibili” adottato
con la delibera del Consiglio dei Ministri del 31 gennaio 2020.
Ne è seguito un profluvio di norme tra cui il D.L. n. 14 del 9 marzo 2020 “Disposizioni urgenti per il potenziamento del Servizio sanitario
na-zionale in relazione all’emergenza COVID-19” che con l’art. 14 ha
asse-gnato una nuova “base giuridica” con vigenza temporanea a tutti i tratta-menti dei dati personali secondo quanto espressamente previsto dagli artt. 5 e 6 del Regolamento europeo: “e) il trattamento è necessario per
l’ese-cuzione di un compito di interesse pubblico o connesso all’esercizio di pub-blici poteri di cui è investito il titolare del trattamento;”.
Si prevede inoltre la cessazione della vigenza e degli effetti delle norme in deroga con il ripristino delle condizioni ordinarie, secondo la disciplina indicata con il punto: “6. Al termine dello stato di emergenza di cui alla
delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati perso-nali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie com-petenze e delle regole che disciplinano i trattamenti di dati personali”.
fronteggiare l’emergenza epidemiologica da COVID-19» sono state
con-fermate le misure adottate con i vari DPCM e ribadite le deroghe alla le-gislazione sul trattamento dei dati personali. Intanto, una norma molto più incisiva sul terreno della protezione dei dati e sulla riservatezza che ha so-speso tutta la disciplina sul trattamento è stata introdotta con l’art. 17-bis della legge n. 27 del 24 aprile 2020 che ha convertito nella legge detta «Cura Italia» il D.L. n. 18 del 17 marzo 2020 e ha stabilito con il suo comma 4 una straordinaria base giuridica: «Avuto riguardo alla necessità
di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i sog-getti di cui al comma 1 possono conferire le autorizzazioni di cui all’arti-colo 2-quaterdecies del codice di cui al decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente».
Tuttavia, nel corso della proclamata emergenza vi sono state iniziative operative del tutto inedite, come la tracciatura dei percorsi svolti dai pos-sessori di telefoni cellulari, le giustificazioni per iscritto da sottoporre alle forze di polizia che controllavano i passanti per strada, l’immissione in Rete e nei social-media delle informazioni quotidiane sulla salute di molte persone, l’inserimento nei siti dei social network di riferimenti e abitudini di vita degli utenti e di terzi, filmati e foto trasmesse a platee di interlo-cutori, ma, molto più importane, i dati comuni e quelli appartenenti a par-ticolari categorie che concernono la patologie riscontrate e curate, i farmaci assunti, gli esiti di indagini cliniche, i test diagnostici a tappeto per indivi-duare i positivi al COVID-19, tutti fatti, circostanze e dati genetici desti-nati a rimanere stabilmente in archivi fisici e immateriali20.
Il tutto gestito in ragione di una base legale estremamente ampia e in-determinata che trova la sua giustificazione ordinamentale nei provvedi-menti di emergenza sanitaria.
Il periodo di diffusione della pandemia da COVID-19 sarà ricordato come la più significativa e allarmante deroga alla disciplina normativa posta a tu-tela della riservatezza della persona, molto più vasta di quella sorveglianza
20In ordine alla possibile utilizzazione di una app dedicata alla tracciabilità dei percorsi
quotidiani dei singoli cittadini e allo stivaggio dei dati sanitari in un «diario clinico» è stato reso un parere dal Comitato Europeo per la Protezione dei Dati Personali:
«Emer-genza sanitaria e tutela della privacy (European Data Protection Board, Parere sul Progetto in materia di app per il contrasto al Covid-19, 14 aprile 2020), in www.dirittifondamen-tali.it. Il parere, pur ponendo in premessa che «le app in questione non sono piattaforme per l’allarmismo sociale o per la stigmatizzazione. Tutt’altro dovrebbero essere strumenti per dare alle persone la possibilità di fare la propria parte», conclude in termini di cautela «Il Comitato concorda pienamente con la raccomandazione di evitare l’utilizzo del sistema di emergenza qui descritto una volta cessato lo stato di crisi, e in via generale di cancellare o anonimizzare i dati raccolti».
di massa scattata all’indomani dell’attacco alle Torri Gemelle nel 2001. Come del resto sarà difficile prevedere come saranno gestite le strutture critiche di-gitali e gli archivi informatizzati contenitori di tutti questi dati che attengono alla salute, alle informazioni genetiche delle persone e quali cautele saranno adottate per evitare che se ne faccia uno sfruttamento indiscriminato da parte di entità senza scrupoli interessate solo a lucrosi guadagni.
Seppure la legislazione di emergenza prevede che al rispristino delle con-dizioni ordinarie ciascuno potrà richiedere di esercitare il diritto di accesso alle piattaforme che hanno utilizzato i dati e le circostanze di vita, sarà ar-duo poterne richiedere la rettifica o la completa cancellazione, anche per la transnazionalità dei mezzi di diffusione dei dati.
La presenza del Regolamento europeo avrebbe consigliato di assumere a livello di Commissione europea un’iniziativa comune con gli strumenti del diritto eurounitario, in modo da vigilare sui dati che inevitabilmente con il mezzo della Rete varcano agevolmente le frontiere materiali.
Solo a questo punto, e inaspettatamente, proprio il nuovo Regolamento europeo e le rinnovate figure di reato contenute nel Codice della Privacy potranno svolgere una tutela incisiva ed una efficace azione difensiva con-tro l’uso distorto delle informazioni che permettono di ricostruire tassello per tassello il vissuto quotidiano di ognuno di noi quando la situazione di emergenza sarà cessata.
Principi generali di un microsistema penale
di stampo eurounitario
Sommario: 1. Ampiezza e limiti di un intervento riformatore della tutela pe-nale dei dati personali in uno scenario normativo continentale profondamente mutato. - 1.1. La necessità di una rivisitazione critica della materia dei dati per-sonali da parte della letteratura penalistica. - 1.2. I propositi di una riforma ra-dicale de lege ferenda nel nuovo contesto di valore della riservatezza perso-nale. – 2. La disciplina integrata multilivello vigente nel contesto continentale. Esigenza di una comune base giuridica nel segno della duttilità normativa. -2.1. La messa a punto dei principi fondamentali di orientamento e di governo della privacy. L’indubbia ricchezza delle fonti interne e sovranazionali. - 2.2. I referenti normativi sovraordinati alle nuove norme penali. – 3. L’insidia di un nodo normalmente sciolto: l’identità personale nella forma della riservatezza digitale. La proiezione normativa della riservatezza online verso quella offline. - 3.1. – La sempre maggiore espansione dei campi operativi della persona nel web come fattore di incremento della vulnerabilità soggettiva. La rilevanza giu-dica della “vita intima”. – 4. Il primo approdo del diritto alla “riservatezza digitale” come punto di svolta delle istanze di protezione europea. - 4.1. La rivendicazione di un moderno bisogno di tutela penale. Dalla tutela asimme-trica alla opzione di una protezione tautologica. – 5. Il valore inferente della radice normativa. La riservatezza come bene giuridico ambivalente da ricon-durre all’ambito prescrittivo della nuova nozione di dato personale o è frutto di elasticità lessicale? – 6. Il diritto penale della discrezione come nuova unità sistematica sorta dalla messa a punto di un bene giuridico autonomo nel no-stro ordinamento penale: la riservatezza. Un interesse giuridico con una solida identità, omnicomprensivo e a geometria variabile. - 6.1. La riservatezza di-scende da precise opportunità di politica criminale e non da obblighi di incri-minazione. – 7. Spunti per la qualificazione dei caratteri identitari di una san-zione penale in materia di dati personali e riservatezza digitale in Rete. Il mo-derno ruolo della confisca. - 7.1. La pena digitale per rimeditare rimprovero
e sanzione. Verso inedite esperienze di punizione e reintegrazione sociale per evitare effetti di “emarginazione digitale”. - 7.2. – Gli attesi esiti punitivi de-gli effetti ablatori della confisca in materia di riservatezza. – 8. Per uno sguardo d’insieme al nuovo contesto normativo penalistico a tutela della riservatezza-privacy. La non esaustività della materia perché a categoria aperta. - 8.1. Le norme a tutela della riservatezza disperse in altri testi legislativi. Valicato il li-mite del principio di “riserva di codice”. - 8.2. Il profilo dirimente della na-tura personale dell’informazione. Il Regolamento del trattamento dei dati non personali. - 8.3. Esempi virtuosi (e sporadici) per modulare la successione delle leggi nel tempo. – 9. La clausola normativa regolatrice introdotta nel rispetto del principio di garanzia del ne bis in idem sostanziale.
1. L’opportunità di un intervento riformatore della tutela penale dei dati
personali in uno scenario normativo continentale profondamente mutato
Sono trascorsi ventidue anni dall’introduzione della figura di reato del trattamento illecito di dati personali nella nostra legislazione penale con l’art. 35 rubricato “Trattamento illecito di dati personali” della legge n. 675 del 31 dicembre 1996 “Tutela delle persone e di altri soggetti rispetto al tratta-mento dei dati personali”; quindici anni dalla sua sostituzione con l’art. 167 rubricato “Trattamento illecito di dati” del D.Lgs. n. 196 del 2003 “Codice in materia di protezione dei dati personali” e, a seguito di una profonda ed accurata rivisitazione alla luce dei regolamenti sovranazionali e delle solle-citazioni europee, il legislatore italiano provvede oggi ad arricchire il qua-dro delle scelte sanzionatorie di natura penale in materia di trattamento dei dati personali con un ampio corredo normativo, opportunamente rinno-vando il “Codice in materia di protezione dei dati personali, recante di-sposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la di-rettiva 95/46/CE”, definito anche Codice della privacy (CdP).
La novità più rilevante di questa svolta legislativa è segnata da una vera e propria trilogia punitiva di natura penale in materia di trattamento ille-cito di dati personali, dal momento che il D.Lgs. n. 101 del 10 agosto 2018, di adeguamento al Regolamento europeo, innesta nel tessuto connettivo del preesistente apparato punitivo due nuove di figure di reato, procedendo anche a una modifica strutturale del previgente art. 167 CdP dove risul-tano insediate una trilogia ulteriore di fattispecie penali1.
La gestazione del nuovo quadro disciplinare è stata piuttosto complessa, considerato che nella prima stesura della bozza del decreto legislativo sot-toposta al parere delle Camere dal Governo era stata eliminato del tutto il capitolo relativo alla normativa penale, partendo dalla decisa abrogazione dell’art. 167 CdP del D.Lgs n. 196/2003 e concentrando tutto l’apparato punitivo su interventi sanzionatori di natura esclusivamente amministra-tiva, come del resto dettava il Regolamento europeo2.
Rispristinata successivamente dalle Commissioni parlamentari, proprio in sede di parere consultivo, è stata addirittura ampliata la parte penali-stica, fino ad apparire come l’immagine dell’insormontabile difesa di una città turrita e prudentemente cintata, attraverso il proliferare di nuove fi-gure di reato rubricate all’art. 167-bis CdP e poi all’art. 167-ter CdP3.
A ben vedere, questo nuovo assetto normativo amplifica notevolmente il campo della tutela penale, non solo di questo settore, ma di tutto il si-stema dei reati informatici (chiara prova ne è la presenza del delitto di cui all’art. 167-ter CdP, evidente ipotesi di reato informatico) di cui la legisla-zione sul trattamento dei dati entra per ragioni di interferenza normativa e sistematica a farne parte e, d’altro lato, allinea la nostra legislazione alle solide fonti sovranazionali4.
Non può essere trascurato che la struttura prescrittiva dei fatti punibili è marcatamente orientata nel verso della law in action, poiché la tecnica cui il legislatore sovranazionale fa ricorso è tipica di un corredo legislativo
personali cit.. F. Sgubbi, Profili penalistici (della l.675/96), in Riv. trim. dir. e proc. pen. 1998,
p. 758. A. Manna, Codice della privacy: nuove garanzie per i cittadini nel Testo unico in
materia di protezione dei dati personali, in Dir.pen. e proc. 2004, p. 17. L. Palamara, Note in tema di rilevanza penale del trattamento illecito di dati personali, in Cass. pen. 2005, p.
1898. V. Plantamura, La tutela penale dei dati personali, in Dir.Inf. 2007, p. 649. V. De-stito, Dati personali (tutela penale dei), in Dig. disc. pen., Agg., vol. I, Torino 2008, p. 232.
2 F. Resta, I reati in materia di protezione dei dati personali, in Aa.Vv., Cybercrime,
Omnia Trattati giuridici, a cura di Cadoppi A. - Canestrari S. - Manna A. - Papa M.,
To-rino 2019, p. 1019.
3 Si vedano gli interventi in Parlamento presso le Commissioni competenti del Garante
della privacy, Dott. Antonello Soro, del 26 novembre 2015 e del 7 giugno 2018, in
www.par-lamento.it.
4S. Aterno - G. Corasaniti - G. Corrias Lucente, L’attuazione della Convenzione
europea su cybercrime. Commento alla legge 18 marzo 2008 n. 48, Padova 2009. L.
Pi-cotti, La ratifica della Convenzione europea sul Cybercrime del Consiglio d’Europa.
Pro-fili di diritto penale sostanziale, Padova 2008. Per un preciso ed accurato lavoro di
riorga-nizzazione teorica della materia, dell’informatica e dei dati, che manca di organicità e, tut-tavia, incrocia scelte di valore anche di segno diverso, si deve rinviare al prezioso inter-vento di L. Picotti, Diritto penale e tecnologie informatiche: una visione d’insieme, in Aa.Vv., Cybercrime cit., p. 33.
che va progressivamente adattato dalla giurisprudenza normativa alla realtà sociale e giuridica che muta rapidamente5. Col tempo il diritto
giurispru-denziale di stampo europeo e la possibilità riconosciutagli di fare ingresso nel nostro sistema attraverso la disciplina dell’art. 117 Cost., saprà ritro-vare contenuti nuovi e certamente più aderenti a scenari in continua evo-luzione, proprio attraverso il complesso delle norme prescrittive “in bianco” come strumenti, nelle intenzioni, di fisiologico adattamento6.
Quello, che appare il naturale evolvere di una legislazione comunitaria uniforme, tuttavia, non riesce a superare le serie riserve di compatibilità di questa scelta di tecnica di normazione con il sistema delle garanzie della persona e con il principio di stretta legalità, entrambi profondamente con-solidati nel nostro ordinamento nazionale7.
Resta da considerare, in effetti, che la nuova disciplina presenta un com-plesso normativo che appare maggiormente dotato dei caratteri di effica-cia ed effettività, caratteri che sono del tutto mancati alle complicate fatti-specie di reato abrogate e sostituite, anche se l’opera giurisprudenziale di modellamento applicativo aveva consentito, ricorrendo anche ad esegesi ar-dita, di offrire puntuale e razionale concretizzazione giudiziaria8.
Il legislatore italiano, in realtà, ha subìto la spinta, come sovente è ac-caduto negli ultimi anni, di interventi regolativi imposti dalle fonti euro-pee che, in qualche misura, hanno anche punito la sua inerzia a provve-dere, con l’incursione di norme innovative e nuove esegesi di fattispecie punitive che hanno improvvisamente mutato il quadro dell’originario con-testo giuridico e culturale del Codice della privacy del D.Lgs. n. 196 del 20039.
La materia del trattamento dei dati ha registrato, occorre subito osser-varlo, una notevole dilatazione disciplinare a seguito della progressiva en-trata in vigore di provvedimenti legislativi che negli ultimi anni hanno
fi-5A. Cadoppi, Common law e principio di legalità, in Quaderni fiorentini 2007, p. 1161.
F. Palazzo, Il principio di legalità tra Costituzione e suggestioni sovranazionali, in
www.la-legislazionepenale.eu, 29 gennaio 2016.
6 A. Cadoppi, Il valore del precedente nel diritto penale. Uno studio sulla dimensione
in action della legalità, Torino 1999. V. Manes, Dalla “fattispecie” al “precedente”: appunti
di “deontologia ermeneutica”, in www.penalecontemporaneo.it, 17 gennaio 2018.
7 Per una disamina dei rapporti tra gli ordinamenti e la difficile ricerca di una nuova
legalità continentale, si rinvia ad G. Amarelli, Dalla legolatria alla post-legalità: eclissi o
rinnovamento di un principio?, in Riv. it. dir. e proc. pen. 2018, p. 1406.
8 Per la congruità delle scelte in astratto che si risolvano in una concreta effettività sul
terreno del processo, si rinvia a S. Fiore, La teoria generale del reato alla prova del
pro-cesso. Spunti per una ricostruzione integrata del sistema penale, Napoli 2007.
9 F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali: dalla
nito per minare alla base l’originaria struttura sistematica che, in realtà, non rendeva per nulla agevole e razionale il compito all’interprete. Oggi il no-stro Codice nazionale va coordinato necessariamente con il Regolamento europeo che uniforma e rende omogenea la normativa dei singoli stati na-zionali, riducendo ad unità i principi regolatori di fondo.
Venuto meno il principio di coerenza e di sintesi a livello nazionale oggi lo sforzo teso a ricercare la regola del caso e la sua tutela ovvero la puni-bilità nell’ipotesi della sua violazione, mette a dura prova lo strumento ese-getico.
L’esigenza di coordinare senza un ordine sistematico una multiforme materia dalle forme lessicali non sempre ineccepibili e che da sempre si è nutrita di numerose ipotesi di rinvio recettizio e di norme penali in bianco10,
è operazione che presta ancor di più il fianco all’incertezza applicativa, fi-nendo per generare anche tensione sul quadro delle rigide garanzie fonda-mentali11.
Non solo. La perdita dei confini normativi dell’ordinamento nazionale mette alle corde anche l’originario sforzo compiuto dal legislatore del 2003, quello di conferire razionalità definitoria attraverso le disposizioni poste ad esordio della prima versione del Codice del trattamento dei dati personali. Era stata salutata con favore, infatti, la scelta di aprire il documento legi-slativo con una serie di norme che qualificavano e definivano in maniera incontrovertibile le condotte di trattamento, gli ambiti di intervento e le stesse operazioni oggetto del trattamento dati, compendio definitorio che ora, come si vedrà, appartiene all’ambito della legislazione sovranazionale.
1.1. La necessità di una rivisitazione critica della materia dei dati personali
da parte della letteratura penalistica
Va soltanto registrato, e non è un aspetto trascurabile, che la letteratura penalistica con estrema episodicità e indifferenza guarda alla materia pe-nale dell’informatica nella generalità della sua legislazione, nonostante nel tempo sia maturato un notevole ambito legislativo che meriterebbe una
10In ordine alla categoria delle clausole generali la letteratura giuridica ha affrontato
ri-petutamente il nodo cruciale della relazione tra tecniche di normazione e linguaggio, si veda in proposito M. Barberis, Filosofia del diritto. Un’introduzione teorica, Torino 2003. Per la dottrina penalistica è illuminante il lavoro di D. Castronuovo, Clausole generali e
di-ritto penale, in www.penalecontemporano.it, 14 novembre 2012.
11 Sul tema si rinvia alla puntuale ricostruzione dei meccanismi di estensione
dell’incri-minazione svolta da L. Risicato, Combinazione e interferenza di forme di manifestazione
del reato. Contributo ad una teoria delle clausole generali di incriminazione suppletiva,
meno elitaria attenzione12. Non può non essere considerato il fatto che, fin
dall’adozione della Direttiva europea del 1995, si era acceso un vivace di-battito sulla possibilità di ricorrere a norme penali per la protezione di si-stemi informatici e di dati personali, come documentato dai resoconti del dibattito che ha appassionato soprattutto la dottrina penalistica internazio-nale13.
12 La questione sulla validità scientifica della materia penale nel settore informatico e
della riservatezza dei dati personali rinvia a quanto accadeva negli anni ’70 a proposito del diritto penale dell’economia come ricordano F. Palazzo - F. Viganò, Diritto penale. Una
conversazione cit., p. 117: “Oggi è assolutamente fuori discussione non solo lo sviluppo di questo settore giuspenalistico ma anche la dignità teorica e pratica che esso ha assunto, sol-lecitando un interesse di ricerca e conoscenza scientifica cui mano a mano va corrispondendo anche un interessamento pratico-applicativo”. Va salutato allora con estremo favore lo sforzo
di assegnare ordine razionale alla materia con il volume Aa.Vv., Cybercrime, Omnia
Trat-tati giuridici, a cura di Cadoppi A. - Canestrari S. - Manna A. - Papa M., Torino 2019.
13 Si rinvia alla Risoluzione del “XVe Congrès International de Droit Pènal (Rio de
Ja-neiro, 4 – 10 septembre 1994)”, “II. Aspects spècifiques relatifs à la protection de la sphère privèe: “14. Des dispositions pènales ne devraient être utilisèes que dans les cas où le droit
civil et la loi protègeant les donnèes informatiques ne fournissent pas de remède lègal adè-quat. Dans la mesure où les sanctions pènales sont utilisèes, l’AIDP rappelle les principes de base qui devraient être pris en compte par les Ètats lorsqu’ils adoptent une lègislation pènale dans ce domaine, ainsi que le prèvoit la Recommandation R (89)9 du Conseil de l’Europe. En outre, l’AIDP estime que les dispositions pènales applicables dans le domaine de la sphère privèe devraient, en particulier:
– Être utilisèes uniquement dans des cas graves, spècialement dans ceux comprenant des donnèes informatiques hautement sensibles ou comprenant des informations confiden-tielles protègèes traditionnellement par la loi;
– Être dèfinies clairement et avec prècision plutòt que par des clauses vagues ou gènè-rales (Generalklauseln), en particulier dans le domaine du droit matèriel de la personnalitè;
– Ètablir une diffèrence entre les nombreux niveaux de gravitè des infractions et re-specter les exigences de la culpabilitè;
– Être principalement limitèes aux actes intentionnels; et
– Permettre aux autoritès de poursuite de prendre en compte, pour certains dèlits, les souhaits de la victime quant à l’action publiqueî, nella sua traduzione a nostra cura “II.
Aspetti specifici relativi alla protezione della sfera privata”: “14. Le disposizioni penali do-vrebbero essere utilizzate solo nei casi in cui la legge civile e la legge che protegge i dati informatici non forniscono un rimedio legale adeguato. Nella misura in cui vengono utiliz-zate sanzioni penali, l’AIDP ricorda i principi di base che dovrebbero essere presi in consi-derazione dagli Stati quando adottano la legislazione penale in questo settore, come previ-sto nella Raccomandazione R (89) 9 del Consiglio d’Europa. Inoltre, l’AIDP ritiene che le disposizioni penali applicabili nell’ambito della sfera privata dovrebbero, in particolare:
– Essere utilizzati solo in casi gravi, in particolare quelli che coinvolgono dati informa-tici altamente sensibili o informazioni riservate tradizionalmente protette dalla legge;
– Essere definiti in modo chiaro e preciso anziché in clausole vaghe o generali (Gene-ralklauseln), in particolare nel campo del diritto sostanziale della personalità;
